Jugar con el policy routing suele traer efectos secundarios «no deseados», tienes que tener en cuenta todos los casos posibles y ponerlos en el orden adecuado, de lo contrario la puedes liar.
En este caso el tema era que, necesitaban salir a internet por una de las lineas secundarias, asi que era necesario crear unas cuantas rutas por origen del tipo:
x.x.x.x 255.255.255.255 0.0.0.0 y.y.y.y donde las y son la ip del default gateway (el router que da salida a Internet).
Algo parecido a esto:
Hasta aquí todo correcto, pero resulta que esa misma maquina también tenia que acceder a alguna red que estaba conectada directamente a ese firewall y que dejaron de funcionar porque el cacharrito hace caso al policy routing si o sin importarle si lo que hay que alcanzar esta en un interfaz local.
Así que, hay que poner una ruta por origen diciéndole que para alcanzar la red local lo haga por el propio interfaz.
(Ojo, que tienes que poner la red local a la que quieres acceder).
Y para decirle la ip del gateway tiene que ser 0.0.0.0 (wtf?), si pones la del propio interfaz deja de pasar trafico (y para variar no hace log, solo lo vimos con el sniffer).